Militaire inlichtingendienst onderzoekt nieuwe cyberaanval op Buitenlandse Zaken

3/09/2019, 12:36
Militaire inlichtingendienst onderzoekt nieuwe cyberaanval op Buitenlandse Zaken

De militaire inlichtingendienst ADIV heeft een onderzoek gevoerd naar gesofisticeerde malware die dit voorjaar is aangetroffen bij Buitenlandse Zaken. Dat vernam Knack uit goedgeïnformeerde bronnen en wordt bevestigd door de ADIV. ‘Alles wijst op een buitenlandse overheid.’

Buitenlandse Zaken is een gedroomd doelwit voor buitenlandse spionnen. Al in 2011 en 2014 werd de Federale Overheidsdienst het slachtoffer van geavanceerde en persistente cyberaanvallen. Nu onthult Knack een derde groot cyberincident, dat hoofdzakelijk gericht was tegen computers van twee Belgische diplomatieke vertegenwoordigingen in het buitenland.

‘In november 2017 werd een computer van Buitenlandse Zaken geïnfecteerd met malware. Bij een controle van de antimalwaredetectie heeft de FOD dat in februari 2018 zelf ontdekt’, zegt kolonel Filip Gillet, hoofd van de directie Cyber bij de ADIV. ‘Vervolgens klopte Buitenlandse Zaken aan bij de ADIV én bij internetbrandweer CERT om de malware verder te onderzoeken. Wij hebben er met een tiental cyberexperts wekenlang op gewerkt en hielden ook wekelijkse briefings met Buitenlandse Zaken. De malware zat snugger in mekaar, maar de persistentie was niet goed geconfigureerd – in mensentaal: zodra je de pc weer opstartte, was de malware niet meer actief. Er zijn toen dus géén gegevens van Buitenlandse Zaken buitgemaakt. De malware liet wel sporen na.’

Aan de hand van de gegevens over de malware voerde Buitenlandse Zaken een nieuwe, gerichte scan uit op haar hele netwerk. Gillet: ‘Op die manier kwam in april 2018 nog een andere besmetting aan het licht, op een andere plek bij Buitenlandse Zaken. Die aangetroffen malware had echter nooit gefunctioneerd.’

De ADIV bezorgde zijn dossier met bevindingen en aanbevelingen in oktober 2018 aan Buitenlandse Zaken. ‘Ook daarna zijn we blijven zoeken naar de technieken en tactieken die de tegenstander had ingezet om de malware te infiltreren’, zegt Gillet. ‘Op die manier deden we in maart 2019 een derde detectie. Die gaf aanleiding tot een boost in het onderzoek. Ook ditmaal waren er nog geen data buitgemaakt, maar stond er wel een communicatiekanaal open om gegevens mee te kunnen versturen.’ Uit voorzorg werd het volledige externe netwerk van Buitenlandse Zaken in mei anderhalve dag afgekoppeld, om de boel op te schonen en bijkomende veiligheidsmaatregelen te installeren.

De ADIV twijfelt er niet aan dat de drie detecties aan elkaar gelinkt zijn. Gillet: ‘De malware bleek immers op ongeveer hetzelfde moment geïnfiltreerd en ook de gebruikte methode was gelijksoortig. Al kan ik daarover niet in detail treden, om het verdere onderzoek niet te schaden.’ De dienst vond bovendien technische elementen die in één bepaalde richting wijzen. ‘Dit was state sponsored: alles wijst op de betrokkenheid van een buitenlandse overheid.